2024年9月7日(土)、本院職員が利用している業務用パソコンが外部の攻撃者により不正利用され、本院保有個人情報(7,085件)の漏えいが発生いたしました。本事案確認後、さらなる被害拡大を防止するため、利用中の対象機器をネットワークから隔離し、被害職員のアカウント停止及びパスワード強制変更を実施しました。以後、被害職員アカウントにより学内各種システムを不正利用された兆候は確認されておりません。
本事案につきましては、個人情報保護委員会(内閣府外局)に報告を行っております。
なお、事案の詳細は下記のとおりです。
1.事案の概要
(1)発生日・発覚日
発生日:2024年9月7日(土)
発覚日:2024年9月9日(月)
(2)概 要:
本院職員が利用している業務用パソコン(以下「被害PC」)がランサムウェア感染し、共有ドライブから業務データが不正にダウンロード(窃取)され個人情報が漏えいし、その後関連データと被害PCが利用不可能となりました。
本事案確認後、被害拡大を防止するため、直ちに以下の対応を行いました。
①被害職員を特定し、利用中の対象機器をネットワークから隔離
②被害職員のアカウント停止及びパスワード強制変更を実施
その後の調査において、被害職員アカウントによる学内各種システム不正利用の形跡は確認されませんでした。
2.個人情報漏えい対象者・データ項目・件数
(1)学外者
1)漏えい対象者:
システム構築・運用に関わる外部企業(システム関連企業)関係者
2)漏えいしたデータ項目
システム構築体制表等に記載の関係者氏名、電話番号、メールアドレス等
3)漏えい数
41社119名
(2)大学学生
1)漏えい対象者:
東北学院大学の学部学生(卒業生等含む)
2)漏えいしたデータ項目
学生番号、成績情報(2023年度開講の1科目)、メールアドレス、氏名
※漏えいしたリストは以下の①~④ですが、個人と成績情報が直接紐づく情報は漏洩していません。
※①~④のリストには、同一学生の情報が重複して含まれている場合があります。
①学生番号+成績(1科目)
②メールアドレスのみ
③学生番号+氏名+メールアドレス
④メールアドレス+氏名
3)漏えい数
合計:3,490名(うち、成績情報漏えい対象者:3,071名)
(3)本院教職員
1)漏えい対象者:
学校法人東北学院 法人事務局及び設置学校に属する教職員
2)漏えいしたデータ項目
教職員番号、氏名、一部メールアドレス
※以下の組み合わせで漏えいしています。
<内訳>
教職員番号・氏名
教職員番号・氏名(一部情報欠損あり(姓のみ等))
学生番号・氏名(過去の在籍者のため、漏えい時点で全て無効化済)※
部署等アカウント
※管理上、教職員扱いとしていたもの
3)漏えい件数
合計:3,476件
3.原因
学外からアクセス可能なネットワークに設置していた被害PCが、外部攻撃者の標的となり、ユーザーIDとパスワードを窃取されて不正侵入を受けたもの。
4.二次被害又はそのおそれ
(1)二次被害
現在のところ確認されておりません。
(2)二次被害のおそれ
メールアドレスが漏えいした方については、迷惑メール等の受信が増加する可能性がございます。
なお、学生・教職員に係る本院統合認証アカウントについては、パスワードの漏えいは一切ないことから、安全性は保たれております。
本事案により、個人情報を窃取された皆様に、深くお詫び申し上げます。
現在、個人情報を窃取された方へ個別に謝罪・説明のご連絡を実施しております(対象者の方には、11月8日(金)までにご連絡を差し上げます)。
本院としてこの事態を重く受け止め、ファイアウォールの設定強化等の技術的な対策と、事案の共有による構成員に対する情報セキュリティに関する啓発・注意喚起等での組織運用面での対策により、再発防止を徹底して参ります。